13 marca 2026

Czy KSC wprowadza lukę w obowiązkach związanych ze zgłaszaniem incydentów?

W związku z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża postanowienia dyrektywy NIS2, na rynku telekomunikacyjnym pojawiają się pytania dotyczące ciągłości obowiązków zgłaszania incydentów bezpieczeństwa. Analiza przepisów przejściowych prowadzi jednak do jednoznacznego wniosku, że obawy o powstanie rocznej luki prawnej w obowiązku raportowania incydentów są nieuzasadnione. Ustawodawca, mimo skomplikowanej konstrukcji przepisów, zapewnił pełną ciągłość regulacyjną.

Aktualny stan prawny – obowiązki wynikające z Prawa telekomunikacyjnego

Aby w pełni zrozumieć logikę przepisów przejściowych, należy w pierwszej kolejności określić dotychczasową podstawę prawną powyższych obowiązków. Obowiązki te wynikały z Działu VIIa ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Pt), zatytułowanego „Bezpieczeństwo i integralność sieci i usług”.

Kluczowym przepisem w tym zakresie jest art. 175a ust. 1 Pt, który nakłada na przedsiębiorców telekomunikacyjnych obowiązki niezwłocznego informowania Prezesa UKE o:

– naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług,

– o podjętych działaniach zapobiegawczych i środkach naprawczych oraz

– o podjętych przez przedsiębiorcę działaniach.

Wzór formularza służącego przekazywaniu informacji o naruszeniach bezpieczeństwa do UKE został określony w rozporządzeniu z dnia 20 września 2018 r. (rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług).

Zasady uznawania naruszeń za naruszenia o „istotnym wpływie” na funkcjonowanie sieci lub usług określa z kolei rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie kryteriów uznania naruszanie bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług.

To właśnie te przepisy – ustawa Prawo telekomunikacyjne oraz wydane do niej rozporządzenie wykonawcze – stanowiły do tej pory kompletny reżim prawny regulujący raportowanie incydentów przez sektor telekomunikacyjny.

Źródło wątpliwości – pozorna sprzeczność w przepisach przejściowych

Obawy o powstanie luki prawnej biorą się z zestawienia dwóch regulacji, które wchodzą w życie z dniem 3 kwietnia 2026 roku:

Uchylenie dotychczasowej podstawy prawnej: Zgodnie z art. 68 ust. 3 ustawy Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej, z tym dniem traci moc wspomniany Dział VIIa Prawa telekomunikacyjnego.
Okres dostosowawczy dla nowych obowiązków: Jednocześnie art. 33 ust. 1 nowelizacji ustawy o KSC stanowi, że podmioty, które stają się podmiotami kluczowymi lub ważnymi (w tym przedsiębiorcy telekomunikacyjni), mają 12 miesięcy od dnia wejścia w życie ustawy na realizację nowych obowiązków, w tym tych dotyczących raportowania incydentów.

Powierzchowna lektura tych dwóch przepisów mogłaby prowadzić do błędnego wniosku, że skoro stara podstawa prawna zostaje uchylona, a na wdrożenie nowych obowiązków jest 12-miesięczny, to w okresie od 3 kwietnia 2026 r. do 3 kwietnia 2027 r. przedsiębiorcy telekomunikacyjni są zwolnieni z obowiązku informowania UKE o incydentach.

Analiza prawna – przepisy zapewniające ciągłość obowiązków

Szczegółowa analiza przepisów przejściowych jednoznacznie wykazuje, że ustawodawca przewidział i zabezpieczył ciągłość obowiązków sprawozdawczych za pomocą dwóch kluczowych mechanizmów.

Po pierwsze, należy zwrócić uwagę na art. 104 pkt 18 ustawy Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej. Stanowi on, że dotychczasowe przepisy wykonawcze wydane na podstawie art. 175a ust. 2 i 2a ustawy uchylanej (czyli kluczowe rozporządzenie w sprawie raportowania incydentów) zachowują moc do dnia wejścia w życie przepisów wdrażających dyrektywę NIS2.

Oznacza to, że samo rozporządzenie, które jest podstawą techniczną i proceduralną informowania o incydentach, pozostaje w systemie prawnym.

Po drugie, klucz do rozwiązania pozornej sprzeczności znajduje się w art. 33 ust. 5 nowelizacji ustawy o KSC. Przepis ten stanowi:

Przedsiębiorcy telekomunikacyjni, którzy przed dniem wejścia w życie niniejszej ustawy realizowali obowiązki określone w dziale VIIa ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (…), realizują te obowiązki na podstawie dotychczasowych przepisów do czasu rozpoczęcia realizacji obowiązków określonych w rozdziale 3 ustawy zmienianej w art. 1 w brzmieniu nadanym niniejszą ustawą.

Przepis ten pełni funkcję „mostu prawnego”. Wprost nakazuje on przedsiębiorcom telekomunikacyjnym dalsze stosowanie dotychczasowych obowiązków (wynikających z uchylanego Działu VIIa Pt oraz powiązanych z nim rozporządzeń) aż do momentu, w którym wdrożą oni w swojej organizacji nowy system raportowania incydentów wynikający ze znowelizowanej ustawy o KSC.

Wnioski

Analiza przeprowadzona przez Kancelarię Prawną Media jednoznacznie wykazuje, że teza o istnieniu rocznej luki w obowiązku raportowania incydentów jest nieuzasadniona. Sytuacja prawna przedsiębiorców telekomunikacyjnych przedstawia się następująco:

Ciągłość obowiązku: Po 3 kwietnia 2026 r. przedsiębiorcy telekomunikacyjni są w dalszym ciągu zobowiązani do zgłaszania incydentów cyberbezpieczeństwa.
Stosowanie starych zasad do czasu wdrożenia nowych: Do momentu, w którym dany przedsiębiorca wdroży w swojej organizacji nowy system raportowania wynikający ze znowelizowanej ustawy o KSC, musi on stosować przepisy dotychczasowe, czyli te wynikające z uchylanego Działu VIIa Prawa telekomunikacyjnego oraz utrzymanego w mocy rozporządzeń wykonawczych.
Termin na wdrożenie nowych zasad: Przedsiębiorcy mają maksymalnie 12 miesięcy (licząc od 3 kwietnia 2026 r.) na dostosowanie swoich systemów i procedur do nowych wymogów KSC. Po dokonaniu tego wdrożenia, zaczną raportować incydenty już wyłącznie na podstawie nowych przepisów.

Podsumowując, przedsiębiorcy telekomunikacyjni nie mogą zaprzestać raportowania naruszeń, a jednocześnie muszą aktywnie przygotowywać się do wdrożenia szerszych obowiązków, mając na uwadze wyznaczony im 12-miesięczny horyzont czasowy na dostosowanie.

Zobacz także:

👉Obowiązki sprawozdawcze DNA

👉Nasza oferta cyberbezpieczeństwo

➡️Zachęcamy do zapisania się na nasz biuletyn 📩

📣W biuletynie KPM eksperci przedstawiają aktualności ze świata rynku mediów i podpowiadają jak przygotować się na zachodzące zmiany.

← poprzedni wpis następny wpis →

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-advertisement	1 rok	Ten plik „cookie”, ustawiony przez wtyczkę RODO Cookie Consent, służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Reklama”.
CookieLawInfoConsent	1 rok	Ten plik „cookie” służy do przechowywania informacji o ustawieniach wyrażonej zgody na wykorzystywanie plików „cookies”.
cookielawinfo-checkbox-others	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Inne”.
cookielawinfo-checkbox-analytics	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Analityka”.
cookielawinfo-checkbox-performance	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Wydajnościowe”.
cookielawinfo-checkbox-functional	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Niezbędne”.
viewed_cookie_policy	12 miesięcy	Niezbędne pliki „cookies” są konieczne do prawidłowego funkcjonowania strony internetowej. Te pliki „cookies” zapewniają anonimowe działanie podstawowych funkcji i zabezpieczeń strony internetowej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Ten plik „cookie” instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_gat_gtag_UA_221281335_1	1 minuta	Ten plik „cookie” instalowany przez Google Analytics, pozwala na rozróżnienie użytkowników.
_gid	1 dzień	Ten plik „cookie” instalowany przez Google Analytics przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej.